Skill

hunting-for-registry-run-key-persistence

Analyzes Sysmon Event ID 13 logs and registry queries to detect MITRE ATT&CK T1547.001 Run key persistence, identifying malicious Windows auto-start entries. Useful for threat hunting in Sysmon-enabled environments.

Python

Powershell

security

Popularity

Stars

Forks

Invocation

How this skill is triggered — by the user, by Claude, or both

Slash command

/cybersecurity-skills-zh:hunting-for-registry-run-key-persistence

User invocable

Model invocable

Inline context

Default effort

Context Preview

The summary Claude sees in its skill listing — used to decide when to auto-load this skill

注册表 Run 键（T1547.001）是攻击者最常用的持久化机制之一。当程序被添加到 Windows 注册表的 Run 键时，它会在用户登录时自动执行。攻击者滥用 `HKLM\Software\Microsoft\Windows\CurrentVersion\Run`、`HKCU\Software\Microsoft\Windows\CurrentVersion\Run` 及其 RunOnce 对应键来维持持久化。Sysmon 事件 ID 13（RegistryEvent - Value Set）捕获注册表值修改，包括目标对象路径、进行修改的进程以及新值。检测方法包括：监控这些事件中指向临时目录的可疑可执行文件、编码的 PowerShell 命令、LOLBin 路径，以及通常不会创建 Run 键条目的进程。将事件 13 与事件 1（进程创建）和事件 11（文件创建）串联分析，可通过...

Supporting Files

LICENSEreferences/api-reference.mdscripts/agent.py

SKILL.md

41 lines · ~384 tokens

Stats

LanguagePython

Stars13

Forks2

MaintenanceExcellent

Last CommitApr 28, 2026

Actions

View Source View Plugin View on GitHub View README

狩猎注册表 Run 键持久化

概述

注册表 Run 键（T1547.001）是攻击者最常用的持久化机制之一。当程序被添加到 Windows 注册表的 Run 键时，它会在用户登录时自动执行。攻击者滥用 HKLM\Software\Microsoft\Windows\CurrentVersion\Run、HKCU\Software\Microsoft\Windows\CurrentVersion\Run 及其 RunOnce 对应键来维持持久化。Sysmon 事件 ID 13（RegistryEvent - Value Set）捕获注册表值修改，包括目标对象路径、进行修改的进程以及新值。检测方法包括：监控这些事件中指向临时目录的可疑可执行文件、编码的 PowerShell 命令、LOLBin 路径，以及通常不会创建 Run 键条目的进程。将事件 13 与事件 1（进程创建）和事件 11（文件创建）串联分析，可通过确认载荷的创建和执行来强化检测。

前置条件

安装并配置 Sysmon 以记录事件 ID 13 的 Windows 系统
配置了 Run/RunOnce 键 RegistryEvent 规则的 Sysmon 配置
Python 3.9+ 及 json、xml.etree.ElementTree、re 模块
收集 Sysmon 日志的 SIEM 或日志聚合器（Splunk、Elastic、Sentinel）
了解合法自动启动程序的知识，用于基线对比

步骤

收集经 Run/RunOnce 键路径过滤的 Sysmon 事件 ID 13 日志
解析事件 XML/JSON，提取 TargetObject、Details（写入值）、Image（修改进程）
标记值指向临时目录、AppData 或 ProgramData 的条目
检测注册表值中的编码 PowerShell 命令或脚本解释器
识别 LOLBin 滥用（mshta.exe、rundll32.exe、regsvr32.exe、wscript.exe）
与合法自动启动条目的已知正常基线对比
检查修改进程（Image）是否异常（cmd.exe、powershell.exe、python.exe）
与事件 ID 1 串联，验证注册的二进制文件是否为近期创建
生成包含 MITRE ATT&CK 映射和严重性评分的检测报告
从发现结果生成 Sigma/Splunk 检测规则

预期输出

JSON 报告，列出可疑的 Run 键条目，包含注册表路径、写入值、修改进程、时间戳、MITRE 技术映射、严重性评级和建议的 Sigma 检测规则。

hunting-for-registry-run-key-persistence

Popularity

Invocation

Context Preview

Supporting Files

SKILL.md

hunting-for-registry-run-key-persistence

Popularity

Invocation

Context Preview

Supporting Files

SKILL.md

狩猎注册表 Run 键持久化

概述

前置条件

步骤

预期输出

Similar Skills

狩猎注册表 Run 键持久化

概述

前置条件

步骤

预期输出

Similar Skills